安全預警：Xshell 5官方版本被植入後門，更新即中招（國內已有用戶受影響）

上圖為被植入後門的Xshell版本

嘶吼8月14日消息，知名伺服器終端管理軟體Xshell在7月18日發布的5.0 Build 1322官方版本被植入後門，用戶下載、更新到該版本均會中招。嘶吼編輯打聽了一圈，身邊有多位朋友受到影響，危害正在評估中，或可能導致用戶伺服器管理賬號密碼泄漏。

Xshell是一款功能強大的伺服器終端管理軟體，支持SSH1、SSH2、TELNET等協議，由國外公司NetSarang開發，在運維、站長、安全等圈子裡有極多受眾。

NetSarang公司在8月7日發布安全公告，稱其最近更新（7月18日）的Xmanager Enterprise、Xmanager、Xshell、Xftp、Xlpd五款軟體存在安全漏洞，官方已於8月5日緊急修復，並發布更新版本。目前暫未發現有人利用過漏洞。

五款軟體的受影響版本：

Xmanager Enterprise 5.0 Build 1232nXmanager 5.0 Build 1045nXshell 5.0 Build 1322nXftp 5.0 Build 1218nXlpd 5.0 Build 1220n

8月5日五款軟體發布新版本，更新日誌基本一致，都提到修復SSH通道的追蹤消息和問題文件nssock2.dll：

FIX: Unnecessary SSH channel trace messagesnFIX: Patched an exploit related to nssock2.dlln

NetSarang公司沒有解釋漏洞的成因，據嘶吼了解，很可能是該公司遭遇了入侵，發布版本被植入後門。

嘶吼編輯獲悉，有國內用戶更新到Xshell問題版本，抓包發現該版本的nssock2.dll會向陌生域名（*.http://nylalobghyhirgh.com）發送畸形DNS請求。問題版本的nssock2.dll帶有官方簽名，可能是攻擊者竊取了NetSarang的簽名，或者直接在源碼層面進行了植入。

目前嘶吼已獲得惡意文件樣本（下載地址），更多技術細節請等待更新。

修復方案

NetSarang公司已經發布修復版本，嘶吼建議該公司產品用戶請儘快更新至最新版本，企業網路可將*.http://nylalobghyhirgh.com域名進行屏蔽。

目前五款軟體的最新版本：

Xmanager Enterprise 5 Build 1236nXmanager 5 Build 1049nXshell 5 Build 1326nXftp 5 Build 1222nXlpd 5 Build 1224n

本文為嘶吼編輯原創，如若轉載，請註明原文地址： http://www.4hou.com/info/news/7244.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：